คุณอาจเคยได้ยินเกี่ยวกับแนวคิดของการเปลี่ยนไปทางซ้ายในด้านความปลอดภัย: เมื่อนักพัฒนาย้ายไปที่ระบบคลาวด์มากขึ้นผู้เชี่ยวชาญด้านความปลอดภัยกำลังมองหาต้นน้ำหรือซ้าย - ไปสู่จุดเริ่มต้นของกระบวนการพัฒนา ในขณะที่คุณพัฒนาจากการพัฒนาไปสู่การถามตอบและการผลิต (ย้ายไปทางขวา) มีแนวคิดพื้นฐานเกี่ยวกับการรักษาความปลอดภัยแบบ end-to-end มากขึ้น
ลองนำแนวคิดนี้ไปอีกขั้นและพูดคุยเกี่ยวกับสิ่งใหม่ ๆ นั่นคือการรักษาความปลอดภัยแบบ“ ปัดไปทางซ้าย”
ในระดับสูงสุดอุตสาหกรรมความปลอดภัยกำลังพยายามแก้ไขปัญหาสำคัญสองประการควบคู่กันไป:
- รวบรวมข้อมูลที่ถูกต้อง
- ประเมินผลอย่างรวดเร็ว
ปัญหาแรกเกี่ยวข้องกับธีมที่เพิ่มมากขึ้นเกี่ยวกับ“ การวิเคราะห์ความปลอดภัย” ซึ่งเป็นเส้นทางที่ช่วยให้เราเข้าใจว่ามีเหตุการณ์ด้านความปลอดภัยที่ต้องใช้เวลาและความสนใจของเราจริงหรือไม่ พื้นผิวการโจมตีขององค์กรใด ๆ ในปัจจุบันมีขนาดใหญ่กว่าที่เคย คุณต้องดูปริมาณการใช้งานเครือข่ายในระดับแพ็คเก็ต คุณต้องดูที่เซิร์ฟเวอร์แอปพลิเคชันและบันทึกผู้ใช้ และคุณต้องดูคำสั่งและกระบวนการที่เริ่มต้น นอกจากนี้คุณต้องครอบคลุมสภาพแวดล้อมทั้งหมด: โลหะเปลือยในสถานที่เสมือนจริงคอนเทนเนอร์และคลาวด์สาธารณะ
ปัญหาประการที่สองคือ แม้ว่าคุณจะเห็นข้อมูลที่ถูกต้องหรือการวิเคราะห์ด้านความปลอดภัยแล้ว คุณจะประเมินคุณค่าของการแจ้งเตือนนั้นได้อย่างรวดเร็วได้อย่างไร ทีมรักษาความปลอดภัยส่วนใหญ่ในปัจจุบันจะบอกคุณว่า พวกเขามีข้อมูลมากเกินไป มีการแจ้งเตือนผิดพลาดมากเกินไป และกำลังไล่ตามการแจ้งเตือนระดับต่ำมากเกินไป ด้วยวิธีการแบบดั้งเดิม SIEMคุณอาจได้รับการแจ้งเตือนมากถึง 3,000 ครั้งต่อวัน และการตอบสนองต่อการแจ้งเตือนจำนวนมากขนาดนั้นกลายเป็นปัญหาที่เกินกำลังคน
ฉันชอบที่จะคิดว่าการวิเคราะห์ความปลอดภัยเป็นการกรองผ่านกองหญ้าที่เต็มไปด้วยเข็มและในทางที่ดีคุณต้องดีขึ้นและดีขึ้นในการกรองผ่านกองหญ้านั้น ผลิตภัณฑ์ใด ๆ ที่ช่วยให้คุณกระชับท่าทางการรักษาความปลอดภัยทุกวันเป็นสิ่งที่คุณต้องการ ความสามารถนี้ไม่ได้มาจากแค่แมชชีนเลิร์นนิงหรือผลกระทบของ“ AI” แต่มาจากการดูการแจ้งเตือนทั้งหมดและถามว่า“ เกี่ยวข้องกันหรือไม่”
ลองยกตัวอย่างง่ายๆสมมติว่า Steve เข้าสู่เซิร์ฟเวอร์เวลาตี 4 (และฉันไม่เคยเข้าสู่ระบบในเวลานั้นมาก่อน) และที่อยู่ IP ของฉันมาจากประเทศไทย แต่ฉันอยู่ที่ซานฟรานซิสโกและแอปที่ฉันเปิดตัวไม่ใช่ แอปที่ฉันเคยเปิดตัวมาก่อน การแจ้งเตือนแต่ละรายการเหล่านี้อาจถูกมองว่าเป็นเสียงรบกวน แต่เมื่อพิจารณาร่วมกันคุณจะเห็นรูปแบบที่สร้างกรณีที่แข็งแกร่งว่ามีการละเมิดอยู่!
คุณจะรวบรวมข้อมูลได้มากขึ้นโดยไม่เพิ่มการแจ้งเตือนความปลอดภัยในปริมาณที่สูงเกินไปได้อย่างไร? เพื่อให้ได้ข้อมูลเชิงลึกเกี่ยวกับทุกสภาพแวดล้อมที่ฉันระบุไว้ข้างต้นคุณจะต้องรวมเครื่องมือรวบรวมข้อมูลการรักษาความปลอดภัยที่กว้างที่สุดในอุตสาหกรรมเข้ากับเทคนิคอัตโนมัติเพื่อการรวบรวมข้อมูลที่สมบูรณ์แบบและเชื่อมโยงการแจ้งเตือนระดับต่ำที่ดูเหมือนจะมีเสียงดังและแสดงให้เห็นว่าเกี่ยวข้องกันในความเป็นจริง
คุณช่วยนักวิเคราะห์ด้านความปลอดภัยในการปรับขนาดผ่านระบบอัตโนมัติได้อย่างไรดังนั้นจึงมีการนำเสนอด้วยไฮไลต์ "สีแดง" หรือ "สีเขียว" แบบเรียบง่ายและเพียงแค่ปัดไปทางซ้ายเพื่อปฏิเสธการแจ้งเตือนหรือปัดไปทางขวาเพื่อยอมรับและดูปัญหาให้ลึกซึ้งยิ่งขึ้น ตามหลักการแล้วนักวิเคราะห์ด้านความปลอดภัยจะไม่ต้องตรวจสอบการแจ้งเตือน 3,000 ครั้งต่อวัน แต่เป็นสามรายการเพื่อให้การตรวจสอบและเรียกใช้การตอบกลับอัตโนมัติสามารถตั้งโปรแกรมเป็นนโยบายได้
ความคิดประเภทนี้เป็นสิ่งที่ผู้คนจำนวนมากขึ้นเรียกบริการตรวจจับและตอบสนองที่มีการจัดการ - MDR-as-a-Service ใช้ประโยชน์จากระบบอัตโนมัติเพื่อช่วยให้ทีมของคุณขยายขนาดและเสนอคุณค่าที่มองไปข้างหน้าให้กับลูกค้าของคุณ
